Ciao,
scusate il cross-posting, solo per lasciarvi un problema riguardo a openssl che ho visto in giro...
Ciao Davide,
molto male. Lo abbiamo discusso proprio ieri al Stammtisch.
Matthias
Davide schrieb:
Ciao,
scusate il cross-posting, solo per lasciarvi un problema riguardo a openssl che ho visto in giro...
Ciao,
On 9 April 2014 17:49, Matthias Dieter Wallnöfer mwallnoefer@yahoo.de wrote:
Ciao Davide,
molto male. Lo abbiamo discusso proprio ieri al Stammtisch.
I fix sono già stati rilasciati (almeno per debian e ubuntu, immagino anche per le altre distro). Per chi non può aggiornare i pacchetti, qui c'è un workaround:
http://www.securityfocus.com/archive/1/531779
HTH, Stefano
On mer, 2014-04-09 at 17:55 +0200, Steevie wrote:
Ciao,
On 9 April 2014 17:49, Matthias Dieter Wallnöfer mwallnoefer@yahoo.de wrote:
Ciao Davide,
molto male. Lo abbiamo discusso proprio ieri al Stammtisch.
I fix sono già stati rilasciati (almeno per debian e ubuntu, immagino anche per le altre distro). Per chi non può aggiornare i pacchetti, qui c'è un workaround:
E per chi desidera testare se il proprio sistema è vulnerabile, molti script sono stati sviluppati nelle ultime ore. Tra di essi
https://github.com/titanous/heartbleeder https://github.com/FiloSottile/Heartbleed https://github.com/noxxi/p5-scripts/blob/master/check-ssl-heartbleed.pl http://foxitsecurity.files.wordpress.com/2014/04/fox_heartbleedtest.zip https://github.com/justfalter/heartbleed/blob/master/jared_stafford/heartble...
Saluti, Gianpaolo
On 09/04/2014 18:31, Gianpaolo Pedrazza wrote:
E per chi desidera testare se il proprio sistema è vulnerabile, molti script sono stati sviluppati nelle ultime ore.
Ciao,
ma questo dovrebbero farlo le banche gli altri siti che usano https? Ho capito bene? Farlo noi utenti questo test fa senso?
On 2014-04-09 5:40 pm, Davide wrote:
ma questo dovrebbero farlo le banche gli altri siti che usano https? Ho capito bene?
Si' hai capito bene, e' un problema sui server. Fare l'update dei pacchetti non basta, bisogna anche sostituire tutti i certificati sul server.
Farlo noi utenti questo test fa senso?
No, ma come utente cambiare la password non guasterebbe...
Thomas
On 2014-04-09 18:49, Thomas Pircher wrote: On 2014-04-09 5:40 pm, Davide wrote: Farlo noi utenti questo test fa senso?
No, ma come utente cambiare la password non guasterebbe...
Attenzione: cambiare la password solo dopo che il fornitore dei servizi ha confermato di avere risolto il problema, altrimenti non cambia niente... :/
Le conseguenze di questo baco potrebbero pure andare molto molto lontano: ad esempio ci sono le prime richieste di togliere startcom dalle CA accettate da firefox, con la motivazione che avrebbero deciso di non abbassare le fee per la revoce dei certificati compromessi. Se questo accadesse non rimarrebbe più nessuna CA (da quello che so io) riconosciuta da tutti i maggiori browser / sistemi operativi a fornire certificati gratuitamente.
Una comunicazione di servizio a tutti i soci che usano l'istanza owncloud e/o la webmail del lugbz: non siamo vulnerabili e non lo siamo mai stati, quindi non dovete preoccuparvi :)
Ciao, Daniele
On mer, 2014-04-09 at 18:40 +0200, Davide wrote:
On 09/04/2014 18:31, Gianpaolo Pedrazza wrote:
E per chi desidera testare se il proprio sistema è vulnerabile, molti script sono stati sviluppati nelle ultime ore.
Ciao,
ma questo dovrebbero farlo le banche gli altri siti che usano https? Ho capito bene?
Esatto.
Farlo noi utenti questo test fa senso?
Se per caso scopri che qualcuno ha un server vulnerabile e lo avvisi, credo che tu gli faccia un enorme favore :-).
Saluti, Gianpaolo
-
daniele -
Davide -
Gianpaolo Pedrazza -
Matthias Dieter Wallnöfer -
Steevie -
Thomas Pircher